SISTEMA OPERATIVO

¡ATENCIÓN EXTORSIÓN!

- Extracción de metadatos de imagen para obtener pistas ocultas (como número de bloque, identificadores de billetera, etc.)
- Búsqueda de transacción en blockchain explorers (por ejemplo, Etherscan) usando la información identificada
- Interpretación de datos: monto exacto transferido, direcciones de envío y recepción, plataforma usada y fecha/hora de la transacción
- Deducción del hash de la transacción (parcial o completo) usando patrones observados en los metadatos
- Reposición de datos verificados para responder preguntas del reto (cantidad exacta, billeteras, plataforma, fecha, hash completo)

- Escaneo de puertos completo con Nmap (TCP SYN, scripts, detección de versión, alto rendimiento sin DNS ni ping)
- Descubrimiento de directorios útiles desde robots.txt y fuzzing web
- Decodificación de datos ocultos (por ejemplo, base64 anidado) para extraer contraseñas temporales
- Acceso FTP para recuperar credenciales (como de MySQL) y archivos ZIP con flags
- Conexión SSH usando credenciales obtenidas (usuario "hulk")
- Uso de diccionarios generados dinámicamente y fuerza bruta de contraseñas (por ejemplo, con patrones como "fuerzabruta" + 4 caracteres)
- Escalada de privilegios al crear diccionario, descifrar credenciales del usuario "Stiff", obtención de shell como root

ACTIVE DIRECTORY

- Esteganografía en imagen con `stegcracker` para revelar datos ocultos que indican un directorio secreto
- Extracción de hash de archivo cifrado y crackeo con `John the Ripper` para obtener la contraseña
- Desbloqueo de archivo Office protegido usando `LibreOffice` con la contraseña recuperada → obtención de tres usuarios
- Fuerza bruta sobre SSH con los usuarios descubiertos hasta lograr acceso inicial
- Escalada de privilegios mediante binario `crash` ejecutable como root (SUID), usando `!sh` para obtener shell root

ACTIVE DIRECTORY

- Descarga automática de PDFs desde `/docs/` y extracción masiva de metadatos con `exiftool`
- Creación de wordlist (fechas como nombres de PDF) y fuzzing con `gobuster` para descubrir ~188 documentos
- Extracción de nombres de usuario con `pdfgrep` después de automatizar el análisis de metadatos
- Enumeración Kerberos con `kerbrute` usando wordlist generada, descubriendo usuario válido
- Explotación de servicios RPC y LDAP para enumerar y capturar credenciales
- Descubrimiento de usuario con contraseña almacenada en la descripción vía SMB
- Autenticación con `evil-winrm` y uso de `bloodhound-python` para analizar y visualizar datos del Active Directory
- Abuso de permiso `ForceChangePassword` para cambiar la contraseña de otro usuario desde Bloodhound
- Abuso del privilegio `SeBackupPrivilege` para realizar copias de `ntds.dit` y `SYSTEM`, y usar `impacket-secretsdump` para extraer hashes
- Generación y uso de Golden Ticket con `impacket-ticketer` para autenticarse como administrador y escalar privilegios con `psexec`

BOCATA DE CALAMARES

- Escaneo completo de puertos con Nmap (TCP SYN, sin resolución DNS, escaneo rápido con scripts y versión de servicio)
- Fuzzing web para identificar archivos clave como login.php y advertencias de SQL injection
- Uso de SQLMap para explotar vulnerabilidad SQLi y obtener credenciales
- Identificación de interfaz web que muestra una lista de tareas (to-do), incluida una referencia codificada en base64
- Construcción de una ruta PHP dinámica usando la cadena codificada en base64 para acceder a funcionalidad de lectura de archivos
- Fuerza bruta de contraseñas para obtener acceso SSH como superadministrator
- Escalada de privilegios en sistema Linux mediante explotación de binario find con sudo sin contraseña (GTFOBi

CALDO DE AVECREN

- Enumeración web con feroxbuster para identificar directorios ocultos (como `llevar.php` y `llevar1.php`)
- Análisis de filtros en formulario: `llevar.php` rechazaba inyecciones, mientras que `llevar1.php` permitía listar usuarios
- Fuerza bruta SSH con username `pacogerente` usando Hydra y RockYou (contraseña encontrada: `dipset1`)
- Monitoreo de procesos con `pspy64` para identificar un script `fabada.sh` ejecutándose como root
- Modificación de `fabada.sh` para elevar permisos en `/bin/bash` → acceso root vía ejecución automática cron

ACTIVE DIRECTORY

CRYPTOLABYRINTH

ACTIVE DIRECTORY

- Envenenamiento NTLM (Responder) para capturar hash de `jdoe`
- Cracking de hash con John para obtener contraseña de `jdoe`
- Acceso vía WinRM con `jdoe`
- Enumeración de grupos y usuarios, detección de pertenencia a `IT Admins`
- Recolección de datos con SharpHound + visualización en BloodHound → descubrimiento de relación con `DBA_ADM`
- Uso de PowerView para forzar cambio de contraseña en `DBA_ADM`
- Acceso vía WinRM como `DBA_ADM`
- Ejecución de `sqlcmd` para listar bases y extraer credenciales de tabla
- Cracking de credenciales extraídas con Hashcat → acceso a BloodHound como `GMSA_USERS`
- Lectura de contraseña GMSA de `GMSA_SVC` usando GMSADumper
- Dump de hashes (`NTDS.dit` + `SYSTEM`) con `SeBackupPrivilege`, extracción con `impacket-secretsdump`
- Creación de Golden Ticket con `impacket-ticketer` y escalar a administrador mediante `psexec`

ACTIVE DIRECTORY

- SQL Injection en la cabecera `User-Agent` utilizando Burp Suite + sqlmap para extraer credenciales
- Subida de payload con implant (Sliver) como gestor multimedia; subida de agente Linux, otorgándole permisos de ejecución para obtener shell
- Exposición de configuración interna: lectura de `.env`, creación de VPN con WireGuard y uso de proxychains para acceder a una segunda máquina
- Acceso SSH a máquina interna con usuario que puede ejecutar `arspoof` como sudo sin contraseña
- Captura de tráfico NTLMv2 mediante ataque MiTM, extracción de hash desde .pcap, criptoquiebre con hashcat/John para obtener credencial
- Despliegue de implant para Windows via SMB y ejecución mediante RDP (con xfreerdp) para obtener acceso en controladores de dominio (DC) como usuario Víctor
- Descubrimiento de plantilla de certificados vulnerable (`UserCA`) y exportación de clave privada en formato PFX
- Importación del certificado (.pfx) para autenticarse como administrador, y ejecución del agente Sliver como Administrador para escalar privilegios completos

- Búsqueda inversa de la imagen suministrada utilizando Google Images, identificando título relacionado (“Shinjuku in Tokio, Kambukicho”) para contextualizar la ubicación
- Búsqueda del local en Google y comparación visual que confirma correspondencia con la imagen original
- Investigación en Wikipedia para obtener el nombre del vecindario (Kabuki-cho) y clasificación cultural (barrio rojo)
- Descarga de la imagen desde Google y análisis de metadatos (EXIF), revelando fecha (28-02-2021) y hora (13:29:27) de la captura
- Obtención de la dirección exacta del local a partir del resultado inicial de Google

ACTIVE DIRECTORY

- Conexión anónima vía SMB al recurso compartido `gorrocoptero`, lectura de archivo con nombre de grupo (`Dorayaki1`) y lista de usuarios
- Validación de credenciales mediante CrackMapExec + contraseña igual al nombre del grupo → acceso por WinRM con el usuario `Doraemon`
- Descubrimiento de archivo oculto en carpeta `Links` → nueva contraseña válida → acceso por WinRM con el usuario `Suneo`
- Descubrimiento de pertenencia al grupo privilegiado `DnsAdmins`
- Creación de DLL malicioso usando `msfvenom` y carga vía `dnscmd` para reiniciar el servicio DNS con payload
- Ejecución del exploit → reverse shell con permisos `NT AUTHORITY\SYSTEM`

- Subida de documento .odt malicioso con macro AutoOpen en LibreOffice para ejecutar reverse shell al abrirse
- Descarga de credentials.7z desde el home de bob y crackeo con John para obtener credenciales
- Acceso a servicios SMB/IMAP/RoundCube con bob; obtención de credenciales de sam desde correo
- Enumeración de compartidos SMB (CONFIDENCIALES, RESPALDOS_IT, IT_TOOLS) y lectura de pistas de contraseña
- Generación de diccionario con patrón ChevyImpala%%%% y crackeo de archivo .psafe3 para obtener contraseña maestra de dean
- Acceso SMB como dean; descarga de clave .ppk, conversión a OpenSSH para acceso SSH como john
- Análisis de correo de dean; esteganografía con stegcracker en imagen adjunta para revelar contraseña de john
- Enumeración de permisos sudo con john; creación de script backup.py en /home/john/tools/ y ejecución como root

EMERREUVEDOBLE

ESPETO MALAGUEÑO

- Conexión anónima al servidor FTP, obteniendo archivo sospechoso sin necesidad de credenciales
- Generación de diccionario personalizado con Crunch y fuerza bruta con Patator utilizando ese archivo
- Acceso a Jenkins con credenciales obtenidas; ejecución de reverse shell mediante Groovy desde la consola de scripts
- Escalada de privilegios usando el binario `php` con permisos SUID, explotado siguiendo técnicas de GTFOBins

- Escaneo completo de puertos con Nmap para identificar servicios (SSH, Apache, Gitea, etc.)
- Registro del dominio `neogym.thl` en `/etc/hosts` y exploración del sitio web del gimnasio
- Explotación de formulario vulnerable a XXE para leer archivos como `/etc/passwd` y `.bash_history`, obteniendo credenciales (`steve`, `Sup3rP4$sw0rd123!`)
- Fuzzing de subdominios → descubrimiento de `admin.neogym.thl`
- Acceso al panel admin con credenciales obtenidas
- SQL Injection en formulario de gestión, extracción de credenciales de usuario (`david`) y crackeo del hash con John
- Reutilización de contraseña crackeada para acceso SSH como `james`
- Enumeración de sudoers: `james` puede ejecutar `perl` como usuario `kyle` → escalada vía GTFOBins
- Escalada a root: `kyle` puede ejecutar script Python `systemcheck.py` como root, que llama scripts relativos (`full_check.sh`, `start_server.sh`) susceptibles a hijacking por path → obtención de privilegios root

- Enumeración de virtual hosts y subdominios
- Fuzzing de directorios y descubrimiento de endpoints en una API
- Registro e interacción con usuarios en aplicación web
- Envío de payloads para verificar ejecución en cliente (captura de visitas)
- Secuestro de cookies de sesión mediante XSS con evasión de Content Security Policy (CSP)
- Uso de CDN (jsdelivr + GitHub repos) para inyectar payloads de JavaScript externos
- Explotación de API vulnerable para ejecución remota de comandos (RCE)
- Explotación de repositorios Git (.git) para recuperar historial y archivos borrados
- Resolución automatizada de retos de compresión encadenada (ZIP con contraseñas dinámicas en distintos lenguajes de scripting)
- Uso de sudo para ejecutar binarios con privilegios (sudo git) → escalada a root

- Escaneo completo de puertos con Nmap (TCP SYN, scripts, detección de servicios, alto rendimiento, sin DNS ni ping)
- Exploración de servicio Grafana vulnerable (versión con LFI reconocido)
- Lectura de archivos internos mediante vulnerabilidad de LFI (por ejemplo, `/etc/passwd`, `grafana.ini`)
- Extracción de credenciales de base de datos desde archivos de configuración
- Consulta de tablas de la base de datos SQLite (`grafana.db`) para obtener credenciales válidas
- Acceso inicial vía SSH con credenciales recuperadas
- Identificación de un script con permisos de ejecución escalables (`set_date.sh`) en sudoers sin contraseña
- Uso de capacidades del sistema (p. ej., ejecución vía `python`) para elevar privilegios a root

- Detección de intentos de acceso por SSH desde IPs específicas (por ejemplo, `192.168.1.100`).
- Identificación y ejecución de scripts con vulnerabilidades conocidas, como `CVE-2021-41773.sh` sobre acceso por SSH.
- Filtrado de registros del servidor/restores para detectar patrones de intrusión.

- Identificación de ubicación del evento: búsqueda del Primark en Google Maps y localización de librería contigua con carteles de evento
- Observación del cartel del evento: fecha (28/04/2024) y logo (tipo tomate o explosión)
- Descarga de imagen relacionada y extracción de metadatos (EXIF) para obtener un nombre
- Análisis de redes sociales en base a la fecha del evento → identificación de cadena en Base64
- Decodificación de la cadena → obtención de nombre ("Aurelio Bravo") y número de teléfono ("325 594 952")

- Escaneo completo de puertos con Nmap para detectar servicios disponibles
- Explotación de vulnerabilidad SSTI (Server-Side Template Injection) con payload en Jinja2 para obtener una reverse shell
- Identificación de logs de MySQL, extracción de credenciales de usuario, decodificación de Base64 y brute force con script en bash
- Acceso al usuario jose, verificación de pertenencia al grupo docker y escalada a root mediante ejecución de contenedor privilegiado (GTFObins)

ACTIVE DIRECTORY

Fuzzing web para descubrir carpeta `/images`, descarga de imagen y extracción de datos ocultos tras una fuerza bruta del salvoconducto
- Descubrimiento de credenciales de WordPress (usuario “Administrator”) a través de texto oculto
- Fuzzing en puerto 8080 para localizar archivo `help` y manipular plugins que bloqueaban acceso a wp-admin
- Acceso a una terminal integrada (wpterm), envío de reverse shell para control remoto
- Identificación de servicio interno en puerto 5000 y port forwarding local usando `chisel`
- Acceso a un panel de sesión protegido con PIN de 4 dígitos; fuerza bruta usando Burp Intruder e inyección de diccionario numérico
- Ejecución de comandos desde el panel resultando en reverse shell como usuario `maria`
- Lectura parcial de `/etc/shadow` mediante binario `app`; uso de manipulación `PATH` y reemplazo del binario `head` para escalar a root vía SUID

ACTIVE DIRECTORY

PHISERMANSPHRIENDS

- Fuzzing web a través de rutas y nombres de usuario obtenidos desde redes sociales → creación de diccionario personalizado con cupp
- Credential stuffing con script multihilo contra panel de login con URL y token dinámico para detectar credenciales válidas
- Configuración de servidor HTTP local para capturar credenciales mediante ataque de phishing (formulario POST interceptado)
- Acceso a Jenkins con credenciales obtenidas; ejecución de reverse shell en Groovy utilizando únicamente el puerto 443
- Reutilización de credenciales para acceso SSH al usuario `mur`
- Descubrimiento de script Python ejecutable como root (`ustil.py`) sin necesidad de contraseña
- Explotación mediante Planting: conexión de SSH con key pública y uso de telnet/PDB para ejecutar código Python dinámicamente con privilegios root

ACTIVE DIRECTORY

- Enumeración de servicios abiertos en Windows Server 2008 con IIS 7.0 y **Vulnserver** (puerto 9999)
- Conexión directa a Vulnserver vía `nc` y confirmación de vectores de explotación conocidos
- Generación de payload con `msfvenom` (Meterpreter reverse_tcp) usando encoder `x86/shikata_ga_nai` y evitando badchars
- Desarrollo de exploit en Python para Vulnserver (`TRUN .` buffer overflow) con EIP overwrite y shellcode inyectado
- Ejecución del exploit → obtención de **shell Meterpreter como NT AUTHORITY\SYSTEM**

- Login en aplicación web con credenciales por defecto (`admin:admin`) en puerto 3333
- Ataque de Prototype Pollution modificando `isAdmin=true` en JSON y ajustando `Content-Type` → permite descarga de archivos
- Envío de reverse shell con BusyBox para obtener acceso inicial
- Detección de tarea cron con `pspy64` ejecutando `grasioso.sh` cada minuto, que es escribible
- Inyección de reverse shell en el cron escribible y obtención de shell como root al ejecutarse automáticamente después de 1 minuto :

- Acceso a compartido SMB como `guest`, descargando script `.bat` con privilegios elevados
- Modificación del script `mantenimiento.bat` para descargar y ejecutar una reverse shell (`shell.ps1`) mediante PowerShell
- Espera del siguiente ciclo de ejecución del script (cada minuto) para recibir una reverse shell como administrador

- Decodificación de `robots.txt` tras fuzzing para revelar credenciales o pistas ocultas
- Identificación de vulnerabilidades XSS y SSRF mediante inyección en cabeceras como `User-Agent`
- Explotación de logs de Apache para ejecutar reverse shell personalizada (revshell “vitaminada”)
- Ejecución de script erróneo que revela nuevas credenciales
- Uso de dichas credenciales para acceder al sistema local
- Ejecución de un script que copia un hash desde RAM al archivo `/tmp/passwd`
- Cracking del hash con Hashcat o script personalizado para descubrir la contraseña del siguiente usuario objetivo

- Descubrimiento de parámetro inyectable en web y explotación SQLi con `sqlmap` para volcar base de datos `blog`, incluyendo usuarios hashed
- Crackeo de hashes SHA-256 con `john` para obtener credenciales válidas y acceso SSH al sistema
- Descubrimiento de archivo ZIP protegido en directorio oculto; extracción del hash y crackeo con `john`; obtención de archivo `.xlsx` con más credenciales
- Conexión SSH usando credenciales obtenidas del XLSX
- Ejecución de `pspy64` y detección de script `backup.sh` con permiso de escritura: modificación para otorgarse SUID a Bash dentro del contenedor
- Uso del Bash SUID modificado para shell con privilegios elevados dentro del contenedor
- Lectura de archivo de texto que contiene pista de contraseña reutilizada del usuario "Ian"
- Descubrimiento y crackeo de archivo `.psafe3` con `pwsafe2john` y `john` para obtener nuevas credenciales
- Acceso vía SSH con nuevas credenciales al sistema; confirmación de pertenencia al grupo `docker`
- Levantamiento de contenedor donde Bash se ejecuta como root, lo que resulta en una shell root fuera del contenedor

- Descubrimiento de directorio oculto tras fuzzer en página Apache por defecto :contentReference[oaicite:1]{index=1}
- Fuerza bruta SSH para obtener credenciales de usuario
- Uso de permiso sudo para ejecutar `base64` sin contraseña y leer la clave privada de root
- Extracción del hash de la passphrase de la clave RSA y crackeo para finalmente acceder como root usando SSH

- Extracción de subdominio desde encabezados con `curl` y decodificación de texto Base64
- Recuperación de credenciales ocultas en comentarios Base64 dentro de metadatos de imagen
- Fuzzing para localizar panel de login y uso de credenciales extraídas
- Conexión a MySQL usando credenciales, exploración de base de datos `SensorData`, y desencriptación directa de contraseña en MySQL
- Autenticación via SSH con credenciales recuperadas
- Descarga y conversión de archivo GPG cifrado a hash (`gpg2john`), y uso de `john` para descifrarlo
- Revisión de cargas dinámicas (`ldd /bin/ls`) y archivo `/etc/ld.so.preload` para detectar posible vector de escalada mediante biblioteca precargada

- Explotación de IA para filtrar subdominio `admin19-32.securitron.thl` y API-Key ‘imagine-no-heaven-no-countries-no-possessions’ :contentReference[oaicite:1]{index=1}
- SQLi automatizado usando `sqlmap` contra formulario de login en `Admin/login.php` y extracción de credenciales sin hash :contentReference[oaicite:2]{index=2}
- Upload de PHP reverse shell (renombrada `avatar.php.png` a `avatar.php`) via funcionalidad de avatar en la app web para obtener shell :contentReference[oaicite:3]{index=3}
- Descubrimiento de puerto 3000 y endpoint API JSON accedido localmente mediante `curl` y Node.js integrado :contentReference[oaicite:4]{index=4}
- Acceso a endpoints `/api/models` usando la API-Key filtrada, listando y descargando modelos GGUF :contentReference[oaicite:5]{index=5}
- Lectura remota de archivos sensibles (`index.js`, `user.txt`) mediante path traversal desde API vulnerable + API-Key, obteniendo flag y credenciales de `securitybot` :contentReference[oaicite:6]{index=6}
- Escalada a `securitybot` usando la credencial obtenida :contentReference[oaicite:7]{index=7}
- Uso de `sudo` para ejecutar binario `ar` según documentación GTFOBins, permitiendo extracción de archivos root :contentReference[oaicite:8]{index=8}
- Lateral movement mediante análisis de crontab de root: despliegue de script `backup_bd.sh` que ejecuta `date` sin path absoluto :contentReference[oaicite:9]{index=9}
- Preparación de binario `date` malicioso en `$HOME/.local/bin` (planting binario), interceptando ejecución desde cron y obteniendo root shell :contentReference[oaicite:10]{index=10}

Identificación de vulnerabilidad **Server-Side Template Injection (SSTI)** en web mediante operación aritmética entre corchetes :contentReference[oaicite:1]{index=1}
- Ejecución de reverse shell vía payload de SSTI usando “PayloadAllTheThings” :contentReference[oaicite:2]{index=2}
- Verificación de pertenencia del usuario a grupo `disk` y exploración de privilegios de lectura/escritura :contentReference[oaicite:3]{index=3}
- Lectura de fichero `id_rsa` de root (con permisos de disco), extracción de hash y crackeo de passphrase con **John** :contentReference[oaicite:4]{index=4}
- Ajuste de permisos al fichero (`chmod 600`) y uso directo de la clave para escalar a root :contentReference[oaicite:5]{index=5}

THEFIRSTAVENGER

- Identificación de instalación de WordPress mediante fuzzing web
- Explotación de vulnerabilidad LFI detectada con WPScan para extraer credenciales (usuario 'admin')
- Fuerza bruta contra WordPress usando RockYou y acceso exitoso
- Uso de Wordpwn para empaquetar una reverse shell (“zip como plugin”), subida y activación para obtener shell
- Extracción de credenciales de base de datos desde `wp-config.php` y acceso al contenido de la tabla `avengers` con hashes MD5
- Decodificación de hash MD5 (“Steve”) en crackstation y acceso SSH inicial como usuario válido
- Configuración de port-forwarding sobre SSH para redirigir el puerto 7092 localmente y acceder al servicio en localhost
- Identificación de vulnerabilidad SSTI (Server-Side Template Injection) en servicio local
- Ejecución de payload SSTI en Jinja2 para abrir reverse shell remota

- Explotación de SQL Injection (basada en tiempo) en el plugin My Calendar (WordPress REST API) para extraer base de datos, usuarios y hashes.
- Crackeo de contraseñas con John para obtener acceso web como usuario `tom`, lo que permite autenticación en panel WordPress.
- Uso de filtro PHP (`php://filter` + WrapWrap) para leer archivos sensibles (`/etc/passwd`, `wp-config.php`) y descubrir credenciales SSH de los usuarios `tom`, `rafael` y `jerry`.
- Conexión remota vía SSH con las credenciales descubiertas y extracción de contraseña de `jerry` mediante decodificación ROT13 de archivo `.dll`.
- Acceso a máquina `rafael` usando VPN (Ligolo-NG) configurada con WireGuard y pivoting hacia nueva red interna para llegar a usuario `jerry`.
- Enumeración local como `jerry`, abusando de configuración APT Pre-Invoke para asignar SUID a Bash e incrementar privilegios.
- Conexión a la máquina host con credenciales de `jerry` y exploit mediante `nginx` con permisos sudo, inyectando clave SSH en `authorized_keys` para obtener acceso root completo.

- Enumeración del sitio web con WordPress y detección de plugin vulnerable (`web-directory-free`) que permite enumerar usuarios
- Acceso SSH mediante fuerza bruta con Hydra, obteniendo credenciales del usuario `premo`
- Descubrimiento de credenciales de base de datos en `wp-config.php`
- Acceso a la base de datos MariaDB y extracción de credenciales en texto plano para el usuario `primo`
- Escalada de privilegios mediante abuso de `sudo -l`: el usuario `primo` puede ejecutar `/usr/bin/bpftrace` sin contraseña
- Ejecución de `bpftrace` para obtener shell con privilegios de root (según GTFOBins)

- Reconocimiento: identificación de Portainer sin autenticación y aplicación PrestaShop con host virtual.
- Descubrimiento de directorios clave en PrestaShop, incluyendo `/src` y uso de Twig.
- Explotación de SSTI (Server-Side Template Injection) en Twig para obtener shell inversa (reverse shell).
- Escalada de privilegios abusing `iptables-save` comment injection para sobrescribir `/etc/passwd` como root.
- Obtención de acceso root directo mediante contraseña inyectada.
- Cracking de hash desde `/etc/shadow` con John, para acceder como usuario `kike`.
- Uso de Portainer como administrador para desplegar contenedor con bind-mount, obteniendo acceso root completo.

- Enumeración inicial de servicios: SSH (22), HTTP (8080) y servicio personalizado en 56789
- Fuzzing web para descubrir ruta `/login`; detección de requisitos de método HTTP específico
- Conexión al servicio Shadow Gate (puerto 56789) enviando “n0cturne” para recibir valores codificados
- Análisis de cadenas Base64: decodificación del primer valor para obtener semilla (seed), aplicación de SHA-256 como clave AES, decodificación de bloques cifrados para extraer el patrón `v4u1tgx9`
- Uso de `v4u1tgx9` como usuario en login vía POST, captura del token `X-Shadow-MFA` y descubrimiento del endpoint `/verify`
- Validación HTTP de usuario + token que provoca cambios en el servicio, obteniendo credenciales SSH (`mars` / `sshpassword123`)
- Acceso SSH como `mars` y exploración del sistema: identificación de script local (`shadow-client.py`) que inicia REPL Python en localhost:4444
- Conexión a REPL desde la máquina víctima y ejecución de código Python arbitrario para abrir reverse shell remota con privilegios root
- Obtención de acceso root y extracción del flag final

BOCATA DE ATÚN